sospetto un dsnchanger, un aiuto, vi prego

[nausycaa]

Salve, sono giorni che noto vari problemi quando navigo. La connessione è molto lenta. Si aprono pop up ogni volta che provo ad entrare in qualunque sito.
Con internet explorer molto spesso alcune pagine non le carica la prima volta e devo riaggiornare per visualizzarle. Mentre con Firefox la prima volta che provo ad andare su un qualunque sito mi carica, a turno, due pagine pubblicitarie: una di emule e una di un programma speed download. Qualunque programma antivirus tenti di aggiornare mi impedisce l'upload dandomi errore. Ho fatto una scansione con HijackThis e mi individua il problema o uno dei problemi nella linea 17 HKLM\System\CCS\Services\Tcpip\..\{666A9EEC-F778-42D9-A36B-69A0EEAFFA8F}: NameServer = 85.255.115.29 85.255.112.211 la seleziono ma ogni volta che riavvio la ritrova. Ho provato non so quanti antyspyraware ma niente. Alcuni non posso provarli perché richiedono l'upload, ho provato le scansioni on line ma non partono. Che devo fare?

[wjmat]

ciao

carica secondo le regole di sezione il log di hjt

[bozzato]

intanto, x evitare che si aprono pagine pubblicitarie e quindi evitare virus, imposta in IE e firefox il blocco totale dei pop-up.

In internet explorer (IE): strumenti->opzioni internet->privacy->blocco popup(in basso):
-seleziona "blocca popup";
-opzioni->livello filtro(in basso)->ALTO;

[Chill-Out]

Ciao e benvenuta!

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

successivamente segui passo passo la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

[nausycaa]

solo ora riesco a stare davanti al pc che ha problemi, seguo alla lettera quello che mi avete scritto e vi aggiorno, grazie

[nausycaa]

Ecco il log di HijackThis, ci tengo a precisare che se lo avvio in modalità normale appare quello che forse è il problea il n. 17., mentre se lo mando in modalità provvisoria la stringa 17 non appare.

Log rimosso leggere le Regole di sezione

[nausycaa]

ecco il link hijackthis.log

[Chill-Out]

Quote:

Originariamente inviato da nausycaa

ecco il link hijackthis.log

Per cortesia leggi bene le istruzioni http://www.hwupgrade.it/forum/showpo...72&postcount=4

[nausycaa]

spero di aver capito, l'ho mandato su winsend... quindi tutti i log devo mandarli li e poi a voi vi copio il link, giusto? scusate ma sono inesperta

[Chill-Out]

Quote:

Originariamente inviato da nausycaa

spero di aver capito, l'ho mandato su winsend... quindi tutti i log devo mandarli li e poi a voi vi copio il link, giusto? scusate ma sono inesperta

Si Wikisend và benissimo, la prima cosa che devi fare è far girare Combofix come da istruzioni ed allegare il log su Wikisend, dopodichè parti con la Guida alla disinfezione ed alleghi tutti i log in un'unico post esattamente come ti ho indicato

[nausycaa]

Buongiorno, sono a lavoro ma nel pomeriggio vedrò di postare tutto.
Ho due domande da novellina:

1. i server dns 208.67.222.222, 208.67.220.220, dopo aver mandato tutti i log si devono cancellare o devono restare? magari è una domanda banale, ma non me ne intendo

2. le scansioni vanno fatte in modalità provvisoria o normale? Devo aggiungere che prima di leggere la guida, avevo fatto scansioni già con alcuni di quelli elencati e mi rivelano qualcosa che non va solo in modalità normale.
Se la risposta è in modalità provvisoria allora devo chiedere un'altra cosa:
le scansioni le ho fatte avviando msconfig e cliccando su modalità diagnostica con i servizi di base. Se provo invece ad andare in modalità provvisoria premendo f5 (f8 non mi va con l'xp), si visualizzano solo alcune icone e se modifico la risoluzione non cambia nulla, quale delle due modalità è la migliore o è la stessa cosa? Grazie

[Chill-Out]

Quote:

Originariamente inviato da nausycaa

Buongiorno, sono a lavoro ma nel pomeriggio vedrò di postare tutto.
Ho due domande da novellina:

1. i server dns 208.67.222.222, 208.67.220.220, dopo aver mandato tutti i log si devono cancellare o devono restare? magari è una domanda banale, ma non me ne intendo

2. le scansioni vanno fatte in modalità provvisoria o normale? Devo aggiungere che prima di leggere la guida, avevo fatto scansioni già con alcuni di quelli elencati e mi rivelano qualcosa che non va solo in modalità normale.
Se la risposta è in modalità provvisoria allora devo chiedere un'altra cosa:
le scansioni le ho fatte avviando msconfig e cliccando su modalità diagnostica con i servizi di base. Se provo invece ad andare in modalità provvisoria premendo f5 (f8 non mi va con l'xp), si visualizzano solo alcune icone e se modifico la risoluzione non cambia nulla, quale delle due modalità è la migliore o è la stessa cosa? Grazie

1 il discorso dns lo affrontiamo dopo aver visto il log

2 da modalità normale, in guida non è espressamente chiesta la modalità provvisoria

Ciao

[nausycaa]

Combo

http://wikisend.com/download/585390/Combo.txt


Malwarebytes

http://wikisend.com/download/608130/mbam-log-2009-03-05 (15-47-16).txt

di questo log va detto iche eri rispetto ai risultati odierni mi dava questo:
Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{666a9eec-f778-42d9-a36b-69a0eeaffa8f}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.29 85.255.112.211 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{666a9eec-f778-42d9-a36b-69a0eeaffa8f}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.29 85.255.112.211 -> No action taken.


A- squared

http://wikisend.com/download/612958/...305-155146.txt

F-secure on line

http://wikisend.com/download/485134/F.SEcure.txt


Dr Web Cure it aveva iniziato la scansione ma a un certo si è bloccato dando un errore di internet explorer e ho dovuto riavviare

Eset SynIspector

http://wikisend.com/download/592664/SysInspector.zip

Hijackthis

http://wikisend.com/download/558960/hijackthis.log

Gmer

http://wikisend.com/download/692096/gmer.txt

Prevxcsi scansiona ma non rilascia alcun log, torna direttamente alla pagina iniziale

[Chill-Out]

Ciao procedi cosi:

- Combo l'hai fatto girare 2 volte mi occorre il primo log

- Ripeti scansione completa con MBAM e metti in quarantena tutti gli elementi infetti rilevati

Estratto dal log

Quote:

File infetti:
C:\bitdefender_isecurity_v9.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wextract.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dllcache\wextract.exe (Trojan.Vundo) -> No action taken.

No action taken -->> significa che non hai elimnato nulla

- Riperi la scansione con Gmer sezione Rootkit esattamente come indicato in Guida tu hai allegato la scansione Autostart

- Ripeti la scansione con Prevx CSI terminata la scansione per ottenere il log clicca su Tools - Salva file di log

[nausycaa]

ok cerco il primo log di Combofix, sperando di averlo ancora, ma credo che alla fine della prima scansione si fosse bloccato

ok MBAM e per gli altri due.

A questa sera

[nausycaa]

Combofix: l'unico altro log che ho trovato è nella cartellina C:, ma credo sia lo stesso perché ha la stessa ora, cmq lo posto per sicurezza

http://wikisend.com/download/486758/ComboFix.txt

MBA
http://wikisend.com/download/522320/mbam-log-2009-03-06 (16-49-33).txt

sono in quarantena, li posso eliminare?

Gmer

http://wikisend.com/download/545862/Gmer1.txt

Prevx

http://wikisend.com/download/513348/prevxcsi.log

[Chill-Out]

Con il Browser chiuso esegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked

Quote:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Antiy Auto Update] C:\Programmi\Antiy Labs\Alive\ALiveCenter.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: hxxp://www.lycos.it
O15 - Trusted Zone: hxxp://it.worldsbiggestchat.com
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

successivamente segui scrupolosamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 troveria le indicazioni per aggiornare il SO - i software complementare - eliminare i tool utilizzati nella Guida alla disinfezione - e per ultimo ma non per questo meno importante i suggerimenti su quale Antivirus e Firewall installare visto che ne sei sprovvista

[nausycaa]

ho notato che il virus è contenuto in un programma chiamato Flashcad Composer:
Trojan.Win32.Agent.btjv (virus)

* C:\PROGRAMMI\FLASHCAD_COMPOSER\WFCMP.DLL (Renamed & Submitted)

La mia domanda è: può essersi insidiato lì per caso o è proprio contenuto nel programma? Lo chiedo perché, dopo aver fatto una ricerca su altri forum, ho notato che alcune persone riportavano problemi di dnschanger e bagle e nei log di alcuni compariva guarda caso questo programma. Per concludere sono finita in questa pagina http://spywarefiles.prevx.com/spywar...C=AGFD44258524 in cui tra gli spyware compare anche questo FLASHCAD che conferma i miei dubbi e dove sono riportati tutti i gravi problemi che dà. Ora io questo programma l'ho scaricato da Facebook, dove c'era tanto di inserzione publicitaria in italiano, poiché una delle case di produzione è anche in Italia, dici che è il caso di spargere la voce?

[Chill-Out]

Non conosco il software nello specifico, ma sul sito della Prevx da te citato viene classificato come SAFE, il fatto di scaricarlo da un link trovato su Facebook non è certo una buona abitudine, se hai specifiche esigenze e desideri reperire un software similare puoi chiedere qui http://www.hwupgrade.it/forum/forumdisplay.php?f=37

[nausycaa]

La prima parte dice così, forse negli ultmi tempi hanno fatto delle revisioni (come è scritto più sopra, o è in fase di accertamenti) ma se leggi dopo dice che il file di quel tipo è stato visto comportarsi in questo modo:

File Behavior
FLASHCAD_COMPOSER_UP[1].EXE has been seen to perform the following behavior:

This Process Deletes Other Processes From Disk
Executes Processes stored in Temporary Folders
This process creates other processes on disk
Executes a Process
FLASHCAD_COMPOSER_UP[1].EXE has been the subject of the following behavior:

Created as a process on disk
Executed as a Process
Deleted as a process from disk


Si avevo bisogno di un file di quel genere, avevo visto questa inserzioen accanto ad altre conosciute, su facebook, e pensavo di potermi fidare